Sesión 4 – La importancia del CIO. Casos de éxito

Clase de Prácticas:

Comenzamos esta sesión hablando de la charla sobre los itinerarios de Ingeniería informática que se realizaría al día siguiente destacando una de las diapositivas:

Puesto Ofertas Salario
Programador 2.000 10.000 € – 18.000 €
Administrador 480 24.000 € – 38.000 €
CIO 15 48.000 € – 125.000 €

Como podemos ver el puesto de CIO del que ya se ha hablado en anteriores posts es el mejor pagado pero también las ofertas son menores y los requisitos para optar a una de estas ofertas son bastante difíciles de cumplir (y más al día siguiente de haber terminado la carrera). Es dificil pero no imposible; además no es de extrañar que sea el mejor pagado debido a que es el puesto con mayor responsabilidad en una organización de los 3.

El siguiente tema a tratar fue el informe Penteo de la Escuela Superior de Administración y Dirección de Empresas (ESADE) de Barcelona, que realiza un análisis sobre el estado de la TI en las empresas españolas. En este documento se podrá comprobar si todo lo estudiado hasta ahora se está llevando a cabo en España.

Uno de los datos que más me ha sorprendido es el siguiente: ¿Considera que las TIC aportan ventajas competitivas? únicamente el 11% de los CEO han respondido “Sí”, mientras que el 21% “Algunas veces” y el 68% que “No”. Esto nos muestra el largo camino que nos queda por recorrer en España para que los directivos dejen de ver las TI como un gasto y una simple herramienta y comiencen a ver el valor que pueden aportar.

Por otra parte, también nos hemos centrado en uno de los párrafos que define el rol del CIO:

“Ser CIO nunca ha sido tan difícil: se le solicita visión estratégica y de negocio, pero no siempre se confía en él o ella para situarle en los órganos en los que tendría la necesaria visibilidad de los imperativos estratégicos; se le demanda que abandone su perfil tecnológico, pero se le supone un conocimiento y capacidad técnica irreprochables; se le anima a promover iniciativas de innovación y transformación, pero se le conmina a adoptar un papel subalterno, habilitador del auténtico liderazgo; se le exige agilidad y flexibilidad pero se le solicitan reducciones de recursos y presupuestos sostenidas y crecientes. Nuestra investigación muestra que los CIO tienen serias dificultades para entender lo que se espera de ellos y que suelen modificar su rol y estrategia de manera reactiva, llegando siempre un poco tarde a satisfacer las expectativas del negocio, con la consiguiente frustración mutua, de ellos, y del negocio.”

¡Casi nada!, poco me parece ahora el sueldo del que hablábamos al principio. Este párrafo resume muy bien algunos de los comentarios que se han ido diciendo en clase como que los directores de las empresas no dotan de suficiente poder a los CIOs para que lleven a cabo todo lo que se le exige, en especial la innovación; o lo que hemos comentado en el párrafo anterior: que ven las TI como una herramienta y un gasto, reducen recursos y presupuestos pero exigen que las TI mejoren. La verdad es que no parece sencillo ejercer el papel de CIO y como dice al final puede llegar a ser frustrante con todo lo que se exige y lo poco que se valora, es por esto que el primer objetivo debe ser hacer entender la TI para que las cosas empiecen a cambiar, en especial que las empresas definan lo que realmente esperan de ellos, porque es normal que “los CIO tengan dificultades para entender lo que se espera de ellos” cuando ni las mismas empresas lo saben.

Un pensamiento alentador es que en el informe también comentan que las grandes empresas se empiezan a dar cuenta de la importancia del CIO, debido a que trae la innovación lo que se traduce en ganancias para la empresa.

Y por último, estudiamos el caso de éxito elaborado por Penteo sobre la empresa Venca que explica el cómo una plataforma cloud les ha proporcionado una mayor elasticidad que les ha permitido responder ante el aumento de tráfico provocado por sus campañas de publicidad y pagando sólo por los recursos consumidos, ya que 1h fuera de servicio les suponía una perdida de 50000€ cuando habían picos de usuarios debido a dichas campañas. Además se resuelven otras necesidades, como la desincronización de lo físico con lo online (stock, precios) con una conexión punto a punto que les proporciona una sincronización prácticamente inmediata, ya que la empresa en la cual han confiado para externalizar estos servicios (Néxica) esta situada en el mismo polígono.

Ahora lo que hacen los TI de Venca es levantar más servidores virtuales cuando preveen que va a haber un pico y así aportar calidad de la experiencia a sus usuarios y que no noten esta mayor cantidad de tráfico, haciendo que la web siempre funcione igual.

Esta decisión es a nivel de TI, realizada por el CIO de Venca. Este es un ejemplo del valor que pueden aportar las TI y la importancia de este rol en las organizaciones.

Clase de Teoría:

Hemos finalizado el análisis de la ISO 38500, que después de lo visto a día de hoy en la asignatura su contenido parece algo bastante lógico y de sentido común pero aún así como hemos visto en el informe Penteo siguen sin aplicarse.

En cuanto al documento, dirigido principalmente al cuerpo de gobierno, comienza con la definición de un lenguaje común al definir términos críticos y brindar un glosario que aclare alguna duda existente (recomendación por ISACA para cualquier marco de referencia de control (ITGI, 2007)) y sigue con la definición de 6 principios:

  • Responsabilidad: el gobierno debe otorgar autoridad pero esto conlleva también una responsabilidad sobre las acciones que se realicen.
  • Estrategia: se deben satisfacer las necesidades actuales y futuras de la estrategia de negocio.
  • Adquisición: se deben analizar estas adquisiciones y tener un equilibrio entre beneficios, oportunidades, costes y riesgos.
  • Desempeño: la TI da soporte a la organización mediante la provisión de servicios, niveles de servicio y calidad de servicio requeridos para alcanzar los requisitos presentes y futuros del negocio.
  • Cumplimiento: la TI cumple con toda la legislación y normativas obligatorias.
  • Conducta Humana: Las políticas de TI, práctica y decisiones relacionadas con la TI muestran respeto hacia la conducta humana, incluyendo las necesidades actuales y futuras de todas las “personas implicadas en el proceso”

Cuando se leyó esta parte del documento se destacó la parte final, y como aparece en el informe Penteo anteriormente comentado también se exige de los CIO que sean directores de recursos humanos.

Otra de las partes a destacar del documento es el modelo de gobernanza TI que se centra en Evaluar, Dirigir y Monitorizar

Modelo de la Gobernanza Corporativa de la TI. ISO 38500

Modelo de la Gobernanza Corporativa de la TI
Source: Gestión de Valor Inversiones en Tecnología

  • Evaluar: Los administradores deberían valorar la situación y formular juicios sobre el uso actual y futuro de la TI, incluyendo estrategias, propuestas y acuerdos de prestación de servicios (ya sean internos, externos, o ambos).
  • Dirigir: Los administradores deberían asignar responsabilidades y dirigir la preparación e implantación de planes y políticas. Los planes deberían fijar el rumbo de inversiones en proyectos y operaciones de TI. Las políticas deberían establecer una conducta responsable en el uso de la TI. (monitorización) En este punto destacar lo anteriormente comentado, te tienen que dar poderes para dirigir, si te están exigiendo esas competencias.
  • Monitorizar: Los administradores deberían monitorizar el desempeño de la TI, a través de sistemas de medición adecuados. Deberían asegurarse de que dicho desempeño esté en conformidad con los planes, en particular con respecto a los objetivos de negocio. Por ejemplo encuestas sobre la calidad de la experiencia de los servicios, o internamente: el benchmarking como vimos en posts anteriores.

El documento finaliza definiendo de forma más extensa los 7 principios anteriores desde la perspectiva del ciclo Evaluar – Dirigir – Monitorizar para cada uno de ellos.

Conclusión: Cada vez queda mas clara la importancia del CIO y las decisiones TI para las organizaciones. Pero desde mi punto de vista lo mas importante es cambiar el concepto de la TI por parte de todos, tanto de los directivos como de los Ingenieros Informáticos, y desde luego esta asignatura pienso que nos está abriendo los ojos.

Práctica 2 – Gobierno de TI – Estado del arte

Esta práctica consiste en contestar a unas cuestiones sobre el artículo de Ingrid Lucía Muñoz Periñán “Gobierno de TI – Estado del arte” que como definimos en el post anterior, es un análisis del estado presente, pasado y futuro de determinado tema:

1.- Indica al menos 3 reportes de entidades reguladoras nombrados en el texto y una breve descripción de cada uno de ellos.

  • Informe CosoInternal controlIntegrated Framework – (Committe on Sponsoring Organizations of the Treadway Commision [COSO] 1992): informe que orienta a las organizaciones y gobiernos sobre control interno, gestión del riesgo, fraudes, ética empresarial… La definición de control interno se entiende como el proceso que ejecuta la administración con el fin de evaluar operaciones especificas con seguridad razonable en tres principales categorías: Efectividad y eficiencia operacional, confiabilidad de la información financiera y cumplimiento de políticas, leyes y normas.
  • Informe Turnbull - Report of the Committee on the Financial Aspects of Corporate Governance – (The Financial Reporting Council [FRC], 2005):  Este informe fue pensado para ser utilizado como guía en los procesos de control interno en las sociedades y empresas.
  • Informe AldamaInforme de la Comisión Especial para el fomento de la transparencia y seguridad en los mercados y las sociedades cotizadas – (Aldama y Miñon, 2003): análisis del estado de la aplicación del código de buen gobierno y la propuesta de unos “criterios y pautas” en lo que al gobierno de las sociedades se refiere con vistas a aumentar “la transparencia y la seguridad en los mercados”.

2.- Indica cuál es la definición de “gobierno corporativo” según el ITGI, la OCDE y la CAF.

Según el ITGI (Carrillo, 2009) el gobierno corporativo es un conjunto de responsabilidades y prácticas ejecutadas por la junta directiva y la gerencia ejecutiva, teniendo como objetivos:

  • Proveer dirección estratégica
  • Asegurar el logro de los objetivos
  • Establecer que los riesgos se administran adecuadamente
  • Verificar que los recursos de la empresa se utilizan responsablemente

Según la OCDE (2004) el gobierno corporativo es el sistema por el cual las sociedades son dirigidas y controladas. La estructura del gobierno corporativo especifica la distribución de los derechos y responsabilidades entre los diferentes participantes de la sociedad, tales como el directorio, los gerentes, los accionistas y otros agentes económicos que mantengan algún interés en la empresa. El gobierno corporativo también provee la estructura a través de la cual se establecen los objetivos de la empresa, los medios para alcanzar estos objetivos, así como la forma de hacer un seguimiento a su desempeño.

La Corporación Andina de Fomento CAF en su marco regulatorio Lineamientos para un Código Andino de Gobierno Corporativo, que contiene un conjunto de buenas prácticas y medidas regulatorias para mejorar las prácticas empresariales en los países que integran la región (Bolivia, Colombia, Ecuador, Perú y Venezuela), define el gobierno corporativo como el conjunto de prácticas, formales e informales, que gobiernan las relaciones entre los administradores y todos aquellos que invierten recursos en la empresa, principalmente accionistas y acreedores.

Aunque cada organización se centra en cosas diferentes, ITGI (IT Governance Institute) creada por la ISACA (Asociación de Auditoria y Control de Sistemas de Información) en la gestión y gobernanza de las TI,  la OCDE (Organización para la Cooperación y el Desarrollo Económicos) en económicas y la CAF en el desarrollo sostenible y la integración regional en América Latina, todas las definiciones son similares.

3.- Define Gobierno corporativo y Gobierno de negocio. ¿Dónde se incluye el gobierno TI?

“A partir del estudio se ha ido extendiendo el concepto de gobierno empresarial; se indica que el gobierno corporativo garantiza la dimensión de conformidad, pero se concluye que no basta garantizar la conformidad sino que se requiere de la ejecución y que el gobierno empresarial tiene dos dimensiones:

  • Gobierno corporativo, cuya misión es la conformidad
  • Gobierno de negocio, cuya misión es el desempeño

La conformidad se adhiere a la legislación, políticas y requerimientos de auditoria y el desempeño exige que las tecnologías de información se involucren en la organización.

El gobierno corporativo y el gobierno de negocio están íntimamente relacionados, dado que el corporativo entrega informes de un ciclo económico y se rinde cuentas sobre esa información, se hace necesario controlar la ejecución de todos los procesos que generan esta información, que es el gobierno de negocio, donde aparecen los activos de la empresa y dentro de esos activos está la tecnología de información, es decir, el concepto de gobierno de TI está dentro del gobierno de negocio.”

Podríamos decir que el gobierno corporativo es mas general, se centra mas en el qué que en el cómo y es por esto que se centra en la legislación, estaría recogido en reportes como Cadbury o COSO. Mientras que el gobierno de negocio es mas específico, sería el cómo, y es por esto que las TI se ubicarían aquí, un ejemplo de reporte/marco podría ser ITIL.

4.- ¿Cuáles son las áreas donde se enfoca el gobierno TI? Descríbelas brevemente.

Las actividades del gobierno de TI se pueden agrupar en cinco áreas:

  • Alineamiento estratégico
    • Asegurar el enlace de los planes del negocio y de TI; definir, mantener y validar la proposición de valor de TI y alinear las operaciones de TI con las operaciones de la empresa.
  • Entrega de valor
    • Asegurar que TI entrega los beneficios acordados alineados con la estrategia, concentrándose en la optimización de costos, y demostrando el valor intrínseco de TI.
  • Administración de riesgos
    • Identificar y evaluar los riesgos de los procesos de la empresa y preparar planes de contingencia. Los directores de la empresa deben ser conscientes de estos riesgos y asignar responsables para administrar estos riesgos dentro de la organización.
  • Administración de recursos
    • Inversión óptima y adecuada administración de los recursos críticos de TI tales como: aplicaciones, información, infraestructura, datos.
  • Medición del desempeño
    • Seguimiento y supervisión de la estrategia de implementación, la finalización de proyectos, el desempeño de procesos y la entrega de servicio.

5.- ¿Cuáles son las características recomendadas por el ISACA en un marco de referencia de control?

Un marco de control debe tener las siguientes características, recomendadas por ISACA para cualquier marco de referencia de control (ITGI, 2007):

  • Brindar un fuerte enfoque en el negocio. La medición del desempeño de TI debe enfocarse sobre su contribución para hacer posible y expandir la estrategia de negocios.
  • Definir un lenguaje común. Construye seguridad y confianza entre los participantes, para tener a todos sintonizados en el mismo canal, al definir términos críticos y brindar un glosario que aclare alguna duda existente.
  • Ayudar a alcanzar requerimientos regulatorios. Permite dar respuesta a los controles internos necesarios para evitar un mal manejo de la información generada para el gobierno corporativo.
  • Contar con la aceptación general entre la organización. Permite ser probado y globalmente aceptado para incrementar la contribución de TI al éxito de la organización.
  • Asegurar la orientación a procesos. Aprovechando la propiedad de los procesos estos están definidos, asignados y aceptados y la organización está en mejor capacidad para mantener el control durante los períodos de cambios rápidos o crisis organizacionales.

Como también dice el artículo, es necesario que las organizaciones se basen en un marco de control que defina el “qué” pero también de unos estándares para realizar el “cómo”.

6.- ¿Qué quiere decir que Cobit está impulsado por las mediciones? ¿Cómo se atienden a estas mediciones?

“Las empresas deben medir dónde se encuentran y dónde se requieren mejoras, e implementar un juego de herramientas gerenciales para monitorear dicha mejora. Cobit atiende estos temas a través de: modelos de madurez, metas y mediciones de desempeño para los procesos de TI y metas de actividades.

  • Modelos de madurez, que facilitan la evaluación por medio de benchmarking y la identificación de las mejoras necesarias en la capacidad.
  • Metas y mediciones de desempeño para los procesos de TI, que demuestran cómo los procesos satisfacen las necesidades del negocio y de TI, y cómo se usan para medir el desempeño de los procesos internos basados en los principios de un marcador de puntuación balanceado (Balanced Scorecard).
  • Metas de actividades, que facilitan el desempeño efectivo de los procesos.”

7.- Define qué es el marco de trabajo Calder-Moir

“El marco de gobierno de IT Calder-Moir es un metamodelo para coordinar modelos y organizar el gobierno de IT proveyendo guía estructural al enfocar el gobierno de IT. Al utilizar este modelo, la organización puede obtener el máximo beneficio de todos los otros marcos de trabajo y estándares (Garbarino, 2010). Es una herramienta sencilla para ayudar a las organizaciones a implementar la norma ISO / IEC 38500 para el gobierno de TI en el mundo real.”

Como se ha comentado varias veces en clase el conjunto de modelos que hemos visto parece que hablen de lo mismo y tengan una competición por ver que marco de referencia define mejor la gestión y la gobernanza TI. Calder-Moir las recoge y coordina para facilitar su implantación y así definiendo un marco completo de gobierno de TI.

8.- Indica qué tienen en común ISO 38500, Cobit y Calder-Moir

  • Responden al cómo administrar mejor las inversiones en TI y obtener valor a partir de su uso.
  • Recomiendan siempre el alineamiento de las decisiones de TI con los objetivos de negocio.
  • Buscan orientar sobre las mejores prácticas de dirección, evaluación y control de las TI en la organización.
  • Se preocupan por el adecuado manejo de los recursos de TI, su desempeño y la administración del riesgo de TI.
  • Como marcos de referencia, no proponen el uso de una herramienta específica, sino de un marco de actuación.

(Izquierdo, 2009)

Como hemos comentado anteriormente Calder-Moir es un metamodelo que coordina otros modelos y por tanto ISO 38500 y Cobit estarían contenidos en Calder-Moir.

9.- ¿Qué es el benchmarking y para que sirve?

“El benchmarking es una forma de evaluar el desempeño de una empresa (o una unidad de esta), comparado otras empresas (o unidades).

Tradicionalmente, las empresas medían su desempeño y lo comparaban con su propio desempeño en el pasado. Esto daba una buena indicación de la mejora que está logrando. Sin embargo, aunque la empresa esté mejorando, es posible que otras empresas estén mejorando más, por lo que mejorar con respecto a años anteriores, puede no ser suficiente.”

[www.degerencia.com]

“El benchmarking es un proceso sistemático y continuo de evaluación de los productos, servicios y procedimientos de trabajo de las empresas que se reconocen como representantes de las mejores prácticas y el propósito es el mejoramiento organizacional”
(M. Spendolini, 1992).
Conclusión: Tras la lectura de este artículo hemos podido ver como el mundo de la gestión y la gobernanza TI puede ser abrumador, debido a la cantidad de documentos que definen estos términos que incluso pueden llegar a solaparse entre sí, es por esto la necesidad de la aparición de metamodelos como Calder-Moir que intenten coordinar todos estos modelos y faciliten la implantación en las organizaciones.
Por otro lado también han aparecido otros estándares como ISO 20000, ITIL, ISO 27002 que se utilizan para implementar el cómo de un qué, que ya hemos visto con COBIT y la ISO 38500. La verdad es que tengo muchas ganas de ver estos marcos de trabajo y estudiar algo mas aplicado, aunque es cierto que todos estos documentos que hemos leído y en especial este que trata sobre el estado del arte de esta materia nos han aportado esa visión de gobierno y gestión que antes no teníamos, viendo el valor que pueden aportar las TI y la importancia del cargo de CIO.